Security Control V2: Asset Management
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
Az Eszközkezelés az Azure-erőforrások biztonsági láthatóságának és szabályozásának biztosítására szolgáló vezérlőket fedi le. Ez magában foglalja a biztonsági személyzet engedélyeit, az eszközleltárhoz való biztonsági hozzáférést, valamint a szolgáltatások és erőforrások jóváhagyásának kezelését (leltározás, nyomon követés és helyes).
A vonatkozó beépített Azure Policy megtekintéséhez tekintse meg az Azure Security Benchmark jogszabályi megfelelőség beépített kezdeményezésének részleteit: Hálózati biztonság
AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| AM-1 | 1.1, 1.2 | CM-8, PM-5 |
Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és -előfizetésekben, hogy Azure Security Center használatával monitorozni tudják a biztonsági kockázatokat.
A biztonsági csapat felelősségeinek struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat feladata lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.
A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.
Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| AM-2 | 1.1, 1.2, 1.4, 1.5, 9.1, 12.1 | CM-8, PM-5 |
Győződjön meg arról, hogy a biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához. A biztonsági csapatoknak gyakran van szükségük erre a leltárra a vállalat új kockázatokkal szembeni kitettségének felméréséhez, és a folyamatos biztonsági fejlesztéséket szolgáló információként.
A Azure Security Center leltárfunkció és az Azure Resource Graph lekérdezheti és felderítheti az előfizetések összes erőforrását, beleértve az Azure-szolgáltatásokat, az alkalmazásokat és a hálózati erőforrásokat.
Logikailag rendszerezheti az eszközöket a szervezet osztályozása szerint címkék és más metaadatok használatával az Azure-ban (név, leírás és kategória).
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
AM-3: Csak jóváhagyott Azure-szolgáltatások használata
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| AM-3 | 2.3, 2.4 | CM-7, CM-8 |
Az Azure Policy használatával ellenőrizheti és korlátozhatja a felhasználók által a környezetben kiépíthető szolgáltatások körét. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
AM-4: Az objektuméletciklus-kezelés biztonságának garantálása
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| AM-4 | 2.3, 2.4, 2.5 | CM-7, CM-8, CM-10, CM-11 |
Olyan biztonsági szabályzatokat hozhat létre vagy frissíthet, amelyek az eszköz életciklus-kezelési folyamatait kezelik a potenciálisan nagy hatású módosítások érdekében. Ezek a módosítások a következők módosításait tartalmazzák: identitásszolgáltatók és hozzáférés, adatbizalmasság, hálózati konfiguráció, adminisztratív jogosultságok hozzárendelése.
Távolítsa el az Azure-erőforrásokat, ha már nincs rájuk szükség.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
AM-5: A felhasználók azure-Resource Manager való interakciójának korlátozása
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| AM-5 | 2.9 | AC-3 |
A Azure AD feltételes hozzáféréssel korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):
AM-6: Csak jóváhagyott alkalmazások használata számítási erőforrásokban
| Azure ID | CIS-vezérlők v7.1 ID(k) | NIST SP 800-53 r4 ID(k) |
|---|---|---|
| AM-6 | 2.6, 2.7 | AC-3, CM-7, CM-8, CM-10, CM-11 |
Győződjön meg arról, hogy csak az engedélyezett szoftverek futnak, és az összes jogosulatlan szoftver nem lesz végrehajtva az Azure Virtual Machines.
Az Azure Security Center adaptív alkalmazásvezérlőinek használatával felderítheti és létrehozhatja az alkalmazás engedélyezési listáját. Az adaptív alkalmazásvezérlőkkel gondoskodhat arról is, hogy csak az engedélyezett szoftverek futhassanak, és az összes jogosulatlan szoftver ne legyen futtatható az Azure Virtual Machines.
A Azure Automation változáskövetés és leltározás használatával automatizálhatja a Windows- és Linux rendszerű virtuális gépek leltáradatainak gyűjtését. A szoftver neve, verziója, közzétevője és frissítési ideje a Azure Portal érhető el. A szoftvertelepítés dátumának és egyéb adatainak lekéréséhez engedélyezze a vendégszintű diagnosztikát, és irányítsa a Windows-eseménynaplókat a Log Analytics-munkaterületre.
A szkriptek típusától függően operációsrendszer-specifikus konfigurációk vagy külső erőforrások használatával korlátozhatja a felhasználók azon képességét, hogy szkripteket hajtsanak végre az Azure számítási erőforrásaiban.
Külső megoldással is felderítheti és azonosíthatja a nem jóváhagyott szoftvereket.
A Azure Automation változáskövetés és leltározás ismertetése
PowerShell-szkriptek végrehajtásának szabályozása Windows-környezetekben
Felelősség: Ügyfél
Ügyfélbiztonsági érdekelt felek (további információ):